- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-數據過濾配置
本章節下載: 05-數據過濾配置 (241.78 KB)
目 錄
數據過濾是一種對流經設備的報文的應用層信息進行過濾的安全防護機製。采用數據過濾功能可以有效防止內網機密信息泄露,禁止內網用戶在Internet上瀏覽、發布和傳播違規或違法信息。目前,數據過濾功能支持對基於HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP和SMB協議傳輸的應用層信息進行檢測和過濾。
數據過濾特征是設備上定義的用於識別應用層信息特征的字符串,包括以下類型:
· 預定義特征:係統預先定義配置,包括手機號、銀行卡號、信用卡號和身份證號。
· 自定義特征:用戶自定義配置,支持文本匹配方式和正則表達式匹配方式。
關鍵字組用來對數據過濾特征進行統一組織和管理。
數據過濾規則是報文應用層信息安全檢測條件及處理動作的集合。在一個規則中可設置關鍵字組、報文方向、應用類型和動作(丟棄、放行、生成日誌)。隻有報文成功匹配規則中包含的所有檢測條件才算與此規則匹配成功。
數據過濾功能是通過在DPI應用profile中引用數據過濾策略,並在安全策略或對象策略中引用DPI應用profile來實現的,設備對報文進行數據過濾處理的整體流程如下:
(1) 當設備收到基於HTTP、FTP、SMTP等協議的報文時,設備將對匹配了策略的報文進行數據過濾處理。有關安全策略的詳細介紹請參見“安全配置指導”中的“安全策略”;有關對象策略規則的詳細介紹請參見“安全配置指導”中的“對象策略”。
(2) 設備提取報文中的應用層信息與數據過濾規則進行匹配,並根據匹配結果對報文執行動作:
¡ 如果報文同時與多個規則匹配成功,則執行這些規則中優先級最高的動作,動作優先級從高到低的順序為:丟棄 > 放行,但是對於生成日誌動作隻要匹配成功的規則中存在就會執行。
¡ 如果報文隻與一個規則匹配成功,則執行此規則中指定的動作。
¡ 如果報文未與任何數據過濾規則匹配成功,則設備直接允許報文通過。
數據過濾配置任務如下:
(3) 配置關鍵字組
(4) 配置數據過濾策略
(6) 激活數據過濾策略和規則配置
(7) 在安全策略中引用數據過濾業務
(8) 在對象策略中引用數據過濾業務
一個關鍵字組中可配置多個數據過濾特征用於定義過濾報文應用層信息的字符串,各特征之間是或的關係。定義數據過濾特征的方式為正則表達式和文本兩種。
(9) 進入係統視圖。
system-view
(10) 創建關鍵字組,並進入關鍵字組視圖。
data-filter keyword-group keywordgroup-name
(11) (可選)配置關鍵字組的描述信息。
description string
缺省情況下,未配置關鍵字組的描述信息。
(12) 配置數據過濾特征。
¡ 配置自定義數據過濾特征。
pattern pattern-name { regex | text } pattern-string
缺省情況下,未配置自定義數據過濾特征。
¡ 啟用預定義數據過濾特征。
pre-defined-pattern name { bank-card-number | credit-card-number | id-card-number | phone-number }
缺省情況下,未啟用預定義數據過濾特征。
一個數據過濾策略中最多可以定義32個數據過濾規則,各規則之間是或的關係。每個規則中可配置一個關鍵字組、多種應用層協議類型、一種報文方向以及多個動作。
NFS協議僅支持NFSv3版本;SMB協議支持SMBv1和SMBv2版本。
(13) 進入係統視圖。
system-view
(14) 創建數據過濾策略,並進入數據過濾策略視圖。
data-filter policy policy-name
(15) (可選)配置數據過濾策略的描述信息。
description string
缺省情況下,未配置數據過濾策略的描述信息。
(16) 創建數據過濾規則,並進入數據過濾規則視圖。
rule rule-name
(17) 指定數據過濾規則采用的關鍵字組。
keyword-group keywordgroup-name
缺省情況下,未指定數據過濾規則采用的關鍵字組。
(18) 配置數據過濾規則的應用層協議類型。
application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }
缺省情況下,數據過濾規則未指定應用層協議類型。
(19) 配置數據過濾規則的匹配方向。
direction { both | download | upload }
缺省情況下,數據過濾規則的匹配方向為會話的上傳方向。
(20) 配置數據過濾規則的動作。
action { drop | permit } [ logging ]
缺省情況下,數據過濾規則的動作為丟棄。
DPI應用porfile是一個安全業務的配置模板,為實現數據過濾功能,必須在DPI應用porfile中引用指定的數據過濾策略。一個DPI應用profile中隻能引用一個數據過濾策略,如果重複配置,則新的配置會覆蓋已有配置。
(21) 進入係統視圖。
system-view
(22) 進入DPI應用profile視圖。
app-profile profile-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(23) 在DPI應用profile中引用數據過濾策略。
data-filter apply policy policy-name
缺省情況下,DPI應用profile中未引用數據過濾策略。
當數據過濾策略和規則被創建、修改和刪除後,需要配置此功能使其策略和規則配置生效。
配置此功能會暫時中斷所有DPI業務的處理,為避免重複配置此功能對DPI業務造成影響,請完成部署DPI各業務模塊的策略和規則後統一配置此功能。
有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
(24) 進入係統視圖。
system-view
(25) 激活數據過濾策略和規則配置。
inspect activate
缺省情況下,數據過濾策略和規則被創建、修改和刪除時不生效。
(26) 進入係統視圖。
system-view
(27) 進入安全策略視圖。
security-policy { ip | ipv6 }
(28) 進入安全策略規則視圖。
rule { rule-id | name name } *
(29) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(30) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
(31) 進入係統視圖。
system-view
(32) 進入對象策略視圖。
object-policy { ip | ipv6 } object-policy-name
(33) 在對象策略規則中引用DPI應用profile。
rule [ rule-id ] inspect app-profile-name
缺省情況下,在對象策略規則中未引用DPI應用profile。
(34) 退回係統視圖。
quit
(35) 創建安全域間實例,並進入安全域間實例視圖。
zone-pair security source source-zone-name destination destination-zone-name
有關安全域間實例的詳細介紹請參見“基礎配置指導”中的“安全域”。
(36) 應用對象策略。
object-policy apply { ip | ipv6 } object-policy-name
缺省情況下,安全域間實例內不應用對象策略。
如圖1-1所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有以下組網需求:
· 阻止URI或者Body字段含有“uri”或“abc.*abc”關鍵字的HTTP報文通過。
· 阻止下載文件內容中含有“www.abcd.com”關鍵字的FTP報文通過。
· 對以上被阻止的報文生成日誌信息。
(37) 配置各接口的IP地址(略)
(38) 創建安全域並將接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(39) 配置對象組
# 創建名為datafilter的IP地址對象組,並定義其子網地址為192.168.1.0/24。
[Device] object-group ip address datafilter
[Device-obj-grp-ip-datafilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-datafilter] quit
(40) 配置數據過濾功能
a. 配置關鍵字組
# 創建關鍵字組kg1,並進入關鍵字組視圖。
[Device] data-filter keyword-group kg1
# 配置關鍵字文本uri和正則表示式abc.*abc。
[Device-data-filter-kgroup-kg1] pattern 1 text uri
[Device-data-filter-kgroup-kg1] pattern 2 regex abc.*abc
[Device-data-filter-kgroup-kg1] quit
# 創建關鍵字組kg2,並進入關鍵字組視圖。
[Device] data-filter keyword-group kg2
# 配置匹配關鍵字文本www.abcd.com。
[Device-data-filter-kgroup-kg2] pattern 1 text www.abcd.com
[Device-data-filter-kgroup-kg2] quit
b. 配置數據過濾策略
# 創建數據過濾策略p1,並進入數據過濾策略視圖。
[Device] data-filter policy p1
# 創建數據過濾規則r1,並進入數據過濾規則視圖。
[Device-data-filter-policy-p1] rule r1
# 在規則r1中應用關鍵字組kg1,配置應用類型為HTTP,報文方向為會話的雙向,動作為丟棄並輸出日誌。
[Device-data-filter-policy-p1-rule-r1] keyword-group kg1
[Device-data-filter-policy-p1-rule-r1] application type http
[Device-data-filter-policy-p1-rule-r1] direction both
[Device-data-filter-policy-p1-rule-r1] action drop logging
[Device-data-filter-policy-p1-rule-r1] quit
# 創建數據過濾規則r2,並進入數據過濾策略視圖。
[Device-data-filter-policy-p1] rule r2
# 在規則r2中應用關鍵字組kg2,配置應用類型為FTP,報文方向為會話的下載方向,動作為丟棄並輸出日誌。
[Device-data-filter-policy-p1-rule-r2] keyword-group kg2
[Device-data-filter-policy-p1-rule-r2] application type ftp
[Device-data-filter-policy-p1-rule-r2] direction download
[Device-data-filter-policy-p1-rule-r2] action drop logging
[Device-data-filter-policy-p1-rule-r2] quit
(41) 配置DPI應用profile
# 創建名稱為profile1的DPI應用profile,並進入DPI應用profile視圖。
[Device] app-profile profile1
# 在DPI應用profile1中應用數據過濾策略p1。
[Device-app-profile-profile1] data-filter apply policy p1
[Device-app-profile-profile1] quit
# 激活數據過濾策略和規則配置。
[Device] inspect activate
(42) 配置安全策略引用數據過濾業務
# 進入IPv4安全策略視圖
[Device] security-policy ip
# 創建名為inspect1的安全策略規則,過濾條件為:源安全域Trust、源IP地址對象組datafilter、目的安全域Untrust。動作為允許,且引用的DPI應用profile為profile1。
[Device-security-policy-ip] rule name inspect1
[Device-security-policy-ip-14-inspect1] source-zone trust
[Device-security-policy-ip-14-inspect1] source-ip datafilter
[Device-security-policy-ip-14-inspect1] destination-zone untrust
[Device-security-policy-ip-14-inspect1] action pass
[Device-security-policy-ip-14-inspect1] profile profile1
[Device-security-policy-ip-14-inspect1] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
完成上述配置後,符合上述條件的HTTP報文和FTP報文將被阻斷,並輸出日誌信息。
如圖1-2所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有以下組網需求:
· 阻止URI或者Body字段含有“uri”或“abc.*abc”關鍵字的HTTP報文通過。
· 阻止下載文件內容中含有“www.abcd.com”關鍵字的FTP報文通過。
· 對以上被阻止的報文生成日誌信息。
(43) 配置各接口的IP地址(略)
(44) 創建安全域並將接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(45) 配置對象組
# 創建名為datafilter的IP地址對象組,並定義其子網地址為192.168.1.0/24。
[Device] object-group ip address datafilter
[Device-obj-grp-ip-datafilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-datafilter] quit
(46) 配置數據過濾功能
a. 配置關鍵字組
# 創建關鍵字組kg1,並進入關鍵字組視圖。
[Device] data-filter keyword-group kg1
# 配置關鍵字文本uri和正則表示式abc.*abc。
[Device-data-filter-kgroup-kg1] pattern 1 text uri
[Device-data-filter-kgroup-kg1] pattern 2 regex abc.*abc
[Device-data-filter-kgroup-kg1] quit
# 創建關鍵字組kg2,並進入關鍵字組視圖。
[Device] data-filter keyword-group kg2
# 配置匹配關鍵字文本www.abcd.com。
[Device-data-filter-kgroup-kg2] pattern 1 text www.abcd.com
[Device-data-filter-kgroup-kg2] quit
b. 配置數據過濾策略
# 創建數據過濾策略p1,並進入數據過濾策略視圖。
[Device] data-filter policy p1
# 創建數據過濾規則r1,並進入數據過濾規則視圖。
[Device-data-filter-policy-p1] rule r1
# 在規則r1中應用關鍵字組kg1,配置應用類型為HTTP,報文方向為會話的雙向,動作為丟棄並輸出日誌。
[Device-data-filter-policy-p1-rule-r1] keyword-group kg1
[Device-data-filter-policy-p1-rule-r1] application type http
[Device-data-filter-policy-p1-rule-r1] direction both
[Device-data-filter-policy-p1-rule-r1] action drop logging
[Device-data-filter-policy-p1-rule-r1] quit
# 創建數據過濾規則r2,並進入數據過濾策略視圖。
[Device-data-filter-policy-p1] rule r2
# 在規則r2中應用關鍵字組kg2,配置應用類型為FTP,報文方向為會話的下載方向,動作為丟棄並輸出日誌。
[Device-data-filter-policy-p1-rule-r2] keyword-group kg2
[Device-data-filter-policy-p1-rule-r2] application type ftp
[Device-data-filter-policy-p1-rule-r2] direction download
[Device-data-filter-policy-p1-rule-r2] action drop logging
[Device-data-filter-policy-p1-rule-r2] quit
(47) 配置DPI應用profile
# 創建名稱為profile1的DPI應用profile,並進入DPI應用profile視圖。
[Device] app-profile profile1
# 在DPI應用profile1中應用數據過濾策略p1。
[Device-app-profile-profile1] data-filter apply policy p1
[Device-app-profile-profile1] quit
# 激活數據過濾策略和規則配置。
[Device] inspect activate
(48) 配置對象策略
# 創建名為inspect1的對象策略,並進入對象策略視圖。
[Device] object-policy ip inspect1
# 對源IP地址對象組datafilter對應的報文進行深度檢測,引用的DPI應用profile為profile1。
[Device-object-policy-ip-inspect1] rule inspect profile1 source-ip datafilter destination-ip any
[Device-object-policy-ip-inspect1] quit
(49) 配置安全域間實例並應用對象策略
# 創建源安全域Trust到目的安全域Untrust的安全域間實例,並應用對源IP地址對象組datafilter對應的報文進行深度檢測的對象策略inspect1。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-trust-untrust] object-policy apply ip inspect1
[Device-zone-pair-security-trust-untrust] quit
完成上述配置後,符合上述條件的HTTP報文和FTP報文將被阻斷,並輸出日誌信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
